浅谈校园网安全控制策略

王书珣

[摘要]随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。校园网络作为信息化建设的主要载体，校园网络安全已经成为当前各高校网络建设中不可忽视的首要问题。基于当前高校网络安全的现状及特点，提出相应的控制策略。

[关键词]网络 安全策略 数据 访问

中图分类号：G43文献标识码：A文章编号：1671－7597（2009）0520051－01

一、引言

随着我国经济与科技的不断发展，教育信息化、校园网络化作为网络时代的教育方式和环境，已经成为教育发展的方向。随着各高校网络规模的急剧膨胀，网络用户的快速增长，校园网安全问题已经成为当前各高校网络建设中不可忽视的首要问题。

二、网络系统的安全威胁

由于大型网络系统内运行多种网络协议（TCP/IP，IPX/SPX，NETBEUA），而这些网络协议并非专为安全通讯而设计。所以，网络系统可能存在的安全威胁来自以下方面：（1）操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC；（2）防火墙的安全性。防火墙产品自身是否安全，是否设置错误，需要经过检验；（3）来自内部网用户的安全威胁。缺乏有效的手段监视、评估网络系统的安全性；（4）采用的TCP/IP协议族软件，本身缺乏安全性；（5）未能对来自Internet的电子邮件挟带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制；（6）应用服务的安全。许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。

三、校园网络安全策略

安全策略是指一个特定环境中，为保证提供一定级别的安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么，制定恰当的满足需求的策略方案，然后才考虑技术上如何实施。

１．物理安全策略。保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web 服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面：（1）环境安全。对系统所在环境的安全保护，确保计算机系统有一个良好的电磁兼容工作环境；（2）设备安全。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。

２．访问控制策略。访问控制的主要任务是保证网络资源不被非法使用和访问，它是保证网络安全最重要的核心策略之一。（1）入网访问控制。入网访问控制为网络访问提供了第一层访问控制，它控制哪些用户能够登录到服务器并获取网络资源；控制准许用户入网的时间和准许他们在哪台工作站入网。（2）网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源； 可以指定用户对这些文件、目录、设备能够执行哪些操作。（3）目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。（4）属性安全控制。当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。（5）网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据； 可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。（6）网络监测和锁定控制。网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，如果非法访问的次数达到设定数值，那么该账户将被自动锁定。（7）网络端口和节点的安全控制。端口是虚拟的“门户”，信息通过它进入和驻留于计算机中，网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户。网络还常对服务器端和用户端采取控制，用户必须携带证实身份的验证器（如智能卡、磁卡、安全密码发生器）。在对用户的身份进行验证之后，才允许用户进入用户端。然后，用户端和服务器端再进行相互验证。

３．防火墙控制策略。防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统（可能是软件或硬件或者是两者并用），用来限制外部非法（未经许可）用户访问内部网络资源，通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻挡外部网络的侵入，防止偷窃或起破坏作用的恶意攻击。

４．信息加密策略。信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密是保护网络节点之间的链路信息安全；端点加密是对源端用户到目的端用户的数据提供保护；节点加密是对源节点到目的节点之间的传输链路提供保护。信息加密过程是由各种加密算法来具体实施。多数情况下，信息加密是保证信息机密性的唯一方法。

５．网络入侵检测技术。入侵检测（IntrusionDeteetion）的定义为：识别针对计算机或网络资源的恶意企图和行为，并对此做出反应的过程。入侵检测应用了以攻为守的策略，它所提供的数据不仅有可能用来发现合法用户滥用特权，还可能在一定程度上提供追究入侵者法律责任的有效证据。

６．备份和镜像技术。用备份和镜像技术提高完整性。备份技术是最常用的提高数据完整性的措施，它是指对需要保护的数据在另一个地方制作一个备份，一旦失去原件还能使用数据备份。镜像技术是指两个设备执行完全相同的工作，若其中一个出现故障，另一个仍可以继续工作。

７．有害信息的过滤。对于校园网络，由于使用人群的特定性，必须要对网络的有害信息加以过滤，防止一些色情、暴力和反动信息危害学生的身心健康，必须采用一套完整的网络管理和信息过滤相结合的系统。实现对校园内电脑访问互联网进行有害信息过滤管理。

８．网络安全管理规范。网络安全技术的解决方案必须依赖安全管理规范的支持，在网络安全中，除采用技术措施之外，加强网络的安全管理，制定有关的规章制度，对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度； 制定网络系统的维护制度和应急措施等。

四、结语

本论文描述了校园网络安全的控制策略，目的在于为用户提供信息的保密，认证和完整性保护机制，使网络中的服务，数据以及系统免受侵扰和破坏。可以使读者有对校园网络安全技术的更深刻的了解。